tshark -qr [cap] -z conv,tcp | awk '{printf("%s:%s:%s\n",$1,$3,$10)}' | awk -F: '{printf("%s %s %s\n",$1,$3,substr($5,1,length($5)-10))}' | sort | uniq -c | sort -nr
Эта команда использует Tshark для анализа сетевого трафика, извлекая информацию о TCP-разговорниках. Она выполняет следующие действия:
1. tshark -qr [cap] -z conv,tcp — Запускает Tshark для анализа сетевого захвата в файле [cap] и выводит информацию о TCP-разговорниках.
2. awk '{printf("%s:%s:%s\n",$1,$3,$10)}' — Фильтрует и форматирует вывод, извлекая IP-адреса и порты обеих сторон разговорника.
3. awk -F: '{printf("%s %s %s\n",$1,$3,substr($5,1,length($5)-10))}' — Дополнительно форматирует вывод, удаляя порции времени из временных меток.
4. sort — Сортирует данные.
5. uniq -c — Оставляет только уникальные строки и подсчитывает их количество.
6. sort -nr — Сортирует результат в обратном порядке по количеству разговорников.
Эта команда полезна для определения топовых TCP-разговорников в сетевом трафике за начальную секунду. Альтернативой может быть использование других инструментов анализа сетевого трафика, таких как Wireshark.